怎樣做好信息防泄漏
整體信息防泄漏 內網安全 三重保護
被譽為臺灣“品牌教父”的Acer創始人施振榮先生,于1992年“再造宏基”時提出了“微笑曲線”的理論,理論的核心內容即是:在產業鏈中,附加值更多體現在兩端,研發和營銷,處于中間環節的制造附加值最低。因此產業未來應朝微笑曲線的兩端發展,也就是在左邊加強研發創造智慧財產權,在右邊加強客戶導向的營銷與服務。
微笑曲線示意圖
微笑曲線理論不僅作為宏基的策略方向,更成為臺灣各產業長期發展的策略,引導臺灣各行業走過轉型升級的再造之路。如今臺灣各行業發展贏得世人矚目,微笑曲線功不可沒。
目前,大陸的企業也紛紛走上了轉型升級之路,制造業企業更是首當其沖。轉型前大多企業主要依靠規模經濟和廉價勞動力來賺取微博的利潤,轉型后則依靠設計圖紙、自主研發的產品等核心智慧資產成為提升利潤率的有利武器。對于此時的企業,最可怕的不是自主創新的高成本,而是對智力資產保護不力,造成信息泄露,最終導致的優勢喪失。即發生目前國內常見的“山寨猛于虎”的狀況。
然而,信息外泄的途徑繁多,涉及的人員規模也大,我們都知道,任何一個疏漏,都可能成為一起后果嚴重的泄密事件。因此很多企業面對防泄問題往往找不到頭緒。根據美國FBI 調查顯示,80%的安全威脅來自企業內部,將近60%的離職者或被辭退者在離開時會攜帶企業數據。來自中國公安部的調查也顯示,國內75%以上的泄密事件是由內部員工造成的。內部泄密已經成為造成企業信息泄漏的最大原因。
因此,信息防泄漏管理就如同做城防,不是防止外面的敵軍攻入,而是防止從內部攻破的城防。如此一來,解決防泄漏問題的思路便清晰了:
首先,設置安全瞭望哨,洞曉城內的動靜,發現安全隱患;
一說到城防,不少人首先想到的即是“安全瞭望哨”,這也是城防“基本并且必須的”設置的崗位。從現實的城防來看,也僅有“空城計”這一出戲沒有設置瞭望哨(但其真實性還存在爭議),因此,瞭望哨是城防當中不可缺少的一部分。
安全瞭望哨對應在信息防泄漏中即是安全審計,而這一環節恰恰又被不少企業所疏忽,企業往往誤認為審計只是馬后炮。其實這嚴重低估了審計的作用。當“生米煮成熟飯”之時,企業已經陷入被動局面、損失也已經無法挽回。
回顧一下L公司泄密事件:2005年前技術主任A先生離職,并用移動硬盤拷走千余份重要的技術資料。à2007年,A通過其前手下,共獲取L公司技術資料幾百份。交給新東家換取高薪。à2008年,L公司發現泄密,將A等告上法庭,最終L公司自曝經濟損失高達14億美元,A面臨牢獄之災。
其實這個事件,通過審計及早發現泄密并非難事,L公司就可以避免損失,從另外一方面來講,A員工也避免了犯罪,總不至于造成最終這個“兩敗俱傷”的結局。
事后追責,僅僅是讓“偷竊者”受到了應有的懲罰,對企業再無更多益處。事實上,安全管理較為成熟、完善的企業無一例外都非常重視審計,規模稍大的企業還會設立部門來專門負責各種操作、內容等審計工作,以便能及早發現泄密的苗頭。
其次,城內重要區域設置關卡,有相應令牌者方可進入;
不用說城防,即使在占山為王的山寨中,也不是所有人都可以自由出入于山寨的任何地方,一些重要的區域會有專人把守,沒有令牌、不知暗語者無法進入。企業信息防泄漏也是同樣的道理,一來要在存有重要信息的地方設好關卡,比如財務部、文檔服務器等,避免無關的人員獲取到重要信息;二來要在消息的各個出口設置關卡,比如U盤、E-mail等,限制文檔的傳播,杜絕信息有這些出口不知不覺外流出去。
企業在進行權限管理時,需看到隨著技術和應用的不斷快速豐富,關卡也要及時增加,當下智能手機、移動應用的普及,給企業的信息防泄管理帶來了新的挑戰。企業需要靈活地新增關卡以便能夠適應和覆蓋新的產品或技術。
于此同時,當人事變動出現時,及時更改關卡權限也是十分必要的,三星泄密事件中其前雇員在提出離職后仍有權限訪問文檔服務器上的機密信息不可不說是事件得以發生的一大前提。
最后,機密信息采用密報,即使被夾帶出城,也無法破解。
對于異常重要的信息,審計和權限管理顯然不足以讓人高枕無憂,還需要更為嚴苛的保護方法:將其做成密報,即使被帶出城去也無法破解,只有這樣才讓人足夠安心。信息防泄漏中,透明加密即可以做到這點,它好比給每個重要的文檔都配備一個專屬的貼身保險柜,沒有經過授權的人無法訪問和使用加密文檔,給機密信息帶來終極防護。
加密的效果是非常誘人的,這也導致09年加密的大熱潮,然而加密性烈,其副作用不可忽視,主要表現為有一定的風險,對企業運行會造成一些影響。因此企業在選用加密產品時更需謹慎,對產品的穩定性、可用性和易用性要嚴格的考察。
因此,企業在構建立體化、全方位的整體信息防泄體系時并不是一刀切、不分輕重的在全公司范圍內采取相同的策略,這樣雖然看似達到了最為安全的效果,但實際將會為企業帶來高成本、低效率以及難以使用和維護等困難。而安全沒有絕對,企業必須在所需的安全程度和為此付出的成本之間取得平衡,也是俗話說的性價比。
以通常所說的加密為例,其成本要遠遠高于審計和控制功能,且對企業運行效率有不可忽略的影響,在實際實施時,企業全面部署加密并非明智之舉,往往需要以上三種配合實施:第一步,首先全公司范圍都進行安全審計,及早發現外泄隱患;其次,設置管控策略,限制信息傳播,并對產生重要信息的部門設置更為嚴格的管控策略;最后,針對極其重要的部門,對其機密信息進行加密保護。這樣既有的放矢,同時又在保證公司運行效率的前提下實現了最優化的信息防泄管理。
